产品说明-网络卫士防火墙NGFW4000系列型号参数

网络卫士防火墙系统NGFW4000系列

产品说明

天融信

TOPSEC?北京市海淀区上地东路1号华控大厦100085

电话：+8610-82776666

传真：+8610-82776677

服务热线：+8610-8008105119

http: //https://www.360docs.net/doc/3f16459756.html,

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC?天融信

信息反馈

https://www.360docs.net/doc/3f16459756.html,

1产品概述 (4)

2关键技术 (4)

1）灵活的接口扩展能力 (5)

2）安全高效的TOS操作系统 (5)

3）集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (5)

4）完全内容检测CCI技术 (5)

3产品特点介绍 (7)

4产品功能 (12)

5运行环境与标准 (17)

6典型应用 (19)

1）典型应用一：在企业、政府纵向网络中的应用 (19)

2）典型应用二：防火墙作为负载均衡器 (20)

3）典型应用三：防火墙接口备份 (21)

4）典型应用四：AA模式双机热备 (22)

7产品资质 (22)

8特别声明 (23)

1产品概述

十几年来，天融信专注于信息安全，第一家开发出自主防火墙系统，第一家提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段，目前已进入以自主安全操作系统TOS（Topsec Operating System）为基础，以完全内容检测为标志的技术阶段，集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能。网络卫士防火墙系列在政府、银行、电力、军工、电信、税务、教育、能源、交通等行业中广泛应用，全国20,000多网络和业务在其保护下平稳运行。

天融信基于多年的技术积累和用户信赖，连续多年蝉联国内第一防火墙品牌。网络卫士防火系列市场占有量巨大，它保护的网络遍布在祖国大江南北，并已走出国门在一些全球性的业务网络上成功实施，为广大用户的信息安全建设立下了汗马功劳。

NGFW4000系列属于网络卫士系列防火墙的中端产品，特别适用于网络结构复杂、应用丰富的大中型企业网络环境。

NGFW4000 (T G-4514)

NGFW4000 (T G-4*24)

NGFW4000 (T G-4208)

说明

2关键技术

1）灵活的接口扩展能力

NGFW4000系列中TG-4514最大配置为12个接口，包括1个可插拔的扩展槽和4个10/100/1000BASE-TX接口（可作为HA口和管理口）；NGFW4000系列中TG-4*24也具有两个可插拔的扩展槽，可支持8个百兆接口。

2）安全高效的TOS操作系统

具有完全自主知识产权的TOS (Topsec Operating System) 安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。

3）集成多种安全引擎：

FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS 基于专有硬件平台的NGFW4000产品采用TOS操作系统，集成了丰富的安全引擎，包括：防火墙引擎，IPSEC VPN引擎，SSL VPN引擎，防病毒引擎，IPS引擎等。这些引擎的紧密集成使得NGFW4000成为了可以防范多种威胁、功能丰富的防火墙产品。

4）完全内容检测CCI技术

网络卫士防火墙采用最新的CCI技术，提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象（如文件、网页、邮件等）进行

病毒查杀，并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁，实现彻底防范。

3产品特点介绍

●集成多种安全功能

NGFW4000由于集成了多种安全引擎，使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能，成为了国内安全功能最丰富的防火墙产品。

●虚拟防火墙

虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙，但使用不同的虚拟系统。对于用户来说，就像是使用独立的防火墙。大大节省了成本。

●强大的应用控制

网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用，以及BT、Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。

●CleanVPN服务

企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。

网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。

●广泛的网络适应性

支持基于源地址、目的地址、接口、Metric的策略路由，支持单臂路由，支持Trunk （802.1Q和ISL），能够在不同的VLAN虚接口间实现路由功能，支持IGMP组播协议和IGMP SNOOPING，支持对非IP协议IPX/NetBEUI的传输与控制。

●先进的设计思想

采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象，包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。

不同对象的实体组成资源，用于描述各种安全策略，实现全方位的安全控制。极大地提高了网络安全性，并保证了配置的方便性。

●超强的防御功能

高级的Intelligent Guard技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击，网络卫士系列防火墙不但有内置的攻击检测能力，还可以和IDS产品实现联动。这不但提高了安全性，而且保证了高性能。

●强大的应用代理模块

具有透明应用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-（S、M、R）、RADIUS-1645、PPTP、SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID（TCP、UDP）PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议，可以实现文件级过滤。

●丰富的AAA功能，支持会话认证

网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令（OTP）、S/KEY、RADIUS 、TACACS、LDAP、securid 、域认证及数字证书等常用的安全认证方法，也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制，并提供了丰富的安全日志来记录用户的安全事件。

网络卫士系列防火墙支持会话认证功能，即当开始一个新会话时，需要先通过认证才能建立会话。这个功能可大大提高应用访问的安全性，实现更细粒度的访问控制。

●强大的地址转换能力

网络卫士系列防火墙拥有强大的地址转换能力。网络卫士系列防火墙同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。

正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式，可以满足绝大多数网络环境的需求。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，这样能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用私有IP 地址就可以正常访问公众网，有效的解决了公有IP地址不足的问题。

内部网用户对公众网提供访问服务（如Web 、FTP 服务等）的服务器如果是私有IP 地址，或者想隐藏服务器的真实IP 地址，都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP 地址的服务器提供服务，同样既可以解决公有IP 地址不足的问题，又能有效地隐藏内部服务器信息，对服务器进行保护。网络卫士系列防火墙提供端口映射和IP 映射两种反向地址转换方式，端口映射安全性更高、更节省公有IP 地址，IP 映射则更为灵活方便。

●卓越的网络及应用环境适应能力

支持众多网络通信协议和应用协议，如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPPoE、MS RPC等协议，

适用网络的范围更加广泛，保证了用户的网络应用。同时，方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。

●智能的负载均衡和高可用性

服务器负载均衡

网络卫士系列防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡。

负载均衡方式如下：

1.轮流（顺序选择地址）

2.根据权重轮流

3.最少连接（将连接分配到当前连接最少的

服务器）

4.加权最少连接（最少连接和权重相结合）

高可用性

为了保证网络的高可用性与高可靠性，网络卫士系列防火墙提供了双机备份功能，即在同一个网络节点使用两个配置相同的防火墙。网络卫士系列防火墙支持两种模式的双机热备功能。一种为AS模式，即在正常情况下一个处于工作状态，为主防火墙，另一个处于备份状态，为从防火墙。当主防火墙发生意外宕机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从防火墙自动代替主防火墙正常工作，从而保证了网络的正常使用。另一种模式为AA模式，即两台防火墙的网络接口分组互为备份。

在每一个组中，都有一个主接口，一个从接口。而不同组中的主接口可以工作在两台防火墙中的任意一台。这样，两台防火墙都处于工作状态，不仅互为备份，而且可以分担网络流量。

网络卫士系列防火墙的双机热备功能使用自主专利的智能状态传送协议(ISTP)，ISTP能高效进行系统之间的状态同步，实现了TCP协议握手级别的状态同步和热备。

当主防火墙发生故障时，这台防火墙上的正在建立或已经建立的连接不需要重新建立就可以透明地迁移到另一台防火墙上，网络使用者不会觉察到网络链路切换的发生。

流量均衡

网络卫士系列防火墙支持完整生成树（Spanning-Tree）协议，可以在交换网络环境中支持PVST和CST等工作模式，在接入交换网络环境时可以通过生成树协议的计算，使不同的VLAN使用不同的物理链路，将流量由不同的物理链路进行分担，从而进行流量均衡，该功能和ISTP协议结合使用还可以在使用高可用性的同时实现流量均衡。

●系统升级与容错

网络卫士系列防火墙可以通过命令行及图形方式进行系统升级，同时网络卫士系列防火墙采用双系统设计，在主系统发生故障时，用户可以在启动时选择BACKUP方式，用备份系统引导系统。

4产品功能

5运行环境与标准

电源：

TG-4514电源：

电压：AC 100~240V

频率：47~63HZ

电流：4~2A

功率：200W (MAX)

TG-4*24电源：

电压：AC90~260V±10%

频率：63~47Hz

电流：8~5A

功率：200W（MAX）

TG-4208电源：

电压：AC100~240V

频率：63~47HZ

电流：8~5A

功率：25W（MAX）

环境：

TG-4514环境：

运行温度：0 - 40 摄氏度

非运行温度：-20 - 85 摄氏度

相对湿度：5 - 90% RH，非冷凝TG-4*24环境：

运行温度: 0~45 摄氏度

非运行温度: -20~65 摄氏度

相对湿度:10~90%RH，非冷凝TG-4208环境：

运行温度: 0~40 摄氏度

非运行温度: -20~70 摄氏度

相对湿度:10~95%RH，非冷凝国家标准:

GB/T18336-2001

GB/T18019-1999

GB/T18020-1999

参考的安全规范及标准(相对参考):

GB4943-2001

UL 1950

TUV-IEC 950

电磁兼容标准：

GB9254-1998

GB17618-1998

FCC Class A

IEC 61000-4-2 （静电放电ESD抗扰度）

IEC 61000-4-3 （射频电磁场抗扰度）

IEC 61000-4-4 （电快速瞬变EFT抗扰度）

IEC 61000-4-5 （浪涌Surge抗扰度）

6典型应用

1）典型应用一：在企业、政府纵向网络中的应用

2）典型应用二：防火墙作为负载均衡器

天融信防火墙配置指南

一、对象与规则现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：用户-->访问者城市-->主机地点-->端口为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。二、路由功能与地址转换现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNAT）。比如A学校有100台计算机，但是只有一个互联网IP，上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问，比如计算机A访问计算机B，那么，计算机B 相当于服务器，计算机A相当于客户机。如果是访问网页，一般就是客户机访问服务器的80端口。在访问的过程中，浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的，就是你进行下载的同时也同时提供了被下载的服务，你的客户端端口也是一个服务端口。在防火墙中应用较多的是源转换（SNAT）和目标转换（DNAT）。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面，如下面的图例。

东软防火墙配置过程

（一）初始化设备 1)初始化配置步骤： 1.用超级终端通过串口控制台连接（RJ-45 null-modem 线缆）来完成初始配置。完成初始配置后，可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示： LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟，在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name: SZYCZ_FW5200 6.输入系统时间。 Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04 10:22:36 7.设置系统语言。 Please set system language (1) English

(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2，中文，回车 8.更改根管理员口令。（此步骤可选，但东软强烈建议首次登录后修改口令。） Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码，选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1，2，3，4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y，添加ycz用户，设备相应密码，Web管理，Telnet。

天融信版本防火墙常用功能配置手册v

天融信版本防火墙常用功能配置手册北京天融信南京分公司 2008年5月

一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。 ?提示：对象名称不允许出现的特殊字符：空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理防火墙缺省管理接口为eth0口，管理地址为，缺省登录管理员帐号：用户名superman，口令talent。防火墙出厂配置如下：

部署防火墙的步骤

部署防火墙的步骤部署防火墙的步骤一#转换特权用户pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #激活内外端口 interface ethernet0 auto interface ethernet1 auto #下面两句配置内外端口的安全级别 nameif ethernet0 outside security0 nameif ethernet1 inside security100 #配置防火墙的用户信息 enable password pix515 hostname pix515 domain-name domain #下面几句配置内外网卡的ip地址 ip address inside 192.168.4.1 255.255.255.0 ip address outside 公网ip 公网ip子网掩码global (outside) 1 interface nat (inside) 1 192.168.4.0 255.255.255.0 0 0

#下面两句将定义转发公网ip的ssh和www服务到192.168.4.2 static (inside,outside) tcp 公网ip www 192.168.4.2 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 公网ip ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0 #下面两句将定义外部允许访问内部主机的服务 conduit permit tcp host 公网ip eq www any conduit permit tcp host 公网ip eq ssh 信任ip 255.255.255.255 #允许内部服务器telnet pix telnet 192.168.4.2 255.255.255.0 inside #下面这句允许ping conduit permit icmp any any #下面这句路由网关 route outside 0.0.0.0 0.0.0.0 公网ip网关 1 #保存配置 write memory 部署防火墙的步骤二步骤一：安装程序时许多程序在安装时都要求关闭防火墙(如wps office 2003)。有些程序虽然并未直接明示，但若不及时关闭，就有可能造成安装失败，比如弹出“读取错误”、“安装*.exe出错”等信息，或者干脆死机，或者安装上去之后不能正常使用。笔者在安装金山影霸、office xp等程序时已经屡经验证。

天融信防火墙命令

天融信防火墙命令 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】

Helpmode chinesel 区域权限：pf service add name webui(gui/ping/telent) area 区域名 addressname any web管理服务开启：system httpd start web界面权限添加：pf service add name webui area 区域名 addressname any 添加网口ip：禁用网口： network interface eth16 shutdown 启用网口： network interface eth16 no shutdown 交换模式： network interface eth16 switchport（no switchport路由模式）区域设置： define area add name E1 attribute 网口 access off（on）《off权限禁止，on 权限允许》主机地址： define host add name 主机名子网地址： define host subnet add name 名字自定义服务：define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip： web服务器外网访问 1）设置 E1 区域 #define area add name E1 access on attribute eth1 2）定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明：“6”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由adls ADS拨号设置 1）设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2）定义外网区域（adsl-a） #define area add name adsl-a attribute adsl access on 3）配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4）拨号 #network adsl start 5）查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13

防火墙技术

并发连接数并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几个数量级的差异。那么，并发连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？要了解并发连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时，打开的一个窗口或一个Web页面，我们也可以把它叫做一个“会话”，扩展到一个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或Web页面发（即会话），那么，这个防火墙，所能处理的最大会话数量，就是“并发连接数”。像路由器的路由表存放路由信息一样，防火墙里也有一个这样的表，我们把它叫做并发连接表，是防火墙用以存放并发连接信息的地方，它可在防火墙系统启动后动态分配进程的内存空间，其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数，允许防火墙支持更多的客户终端。尽管看上去，防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时，过大的并发连接表也会带来一定的负面影响：并发连接数的增大意味着对系统内存资源的消耗以每个并发连接表项占用300B计算，1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间，10000个并发连接将占用23Mb内存空间，100000个并发连接将占用230Mb内存空间，而如果真的试图实现1000000个并发连接的话那么，这个产品就需要提供2.24Gb内存空间！并发连接数的增大应当充分考虑CPU的处理能力 CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上，并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作，这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CP U的实际处理能力而贸然增大系统的并发连接表，势必影响防火墙对连接请求的处理延迟，造成某些连接超时，让更多的连接报文被重发，进而导致更多的连接超时，最后形成雪崩效应，致使整个防火墙系统崩溃。物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口，但是，由于防火墙通常都部署在Internet出口处，在客户端PC与目的资源中间的路径上，总是存在着瓶颈链路——该瓶颈链路可能是2Mbps专线，也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接，所以即便是防火墙能够支持大规模的并发访问连接，也无法发挥出其原有的性能。有鉴于此，我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不同规模的网络会产生大小不同的并发连接，而用户习惯于何种网络服务

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

应用防火墙技术参数

应用防火墙技术参数：品牌要求：网神、网御星云、山石网科系统功能设备参数接口数目 ★至少6个10/100/1000自适应电口+2SFP插槽，其中包括1个带外管理口，1个HA口，4个业务接口， 1U设备性能参数 ★至少1200Mbps网络吞吐量，应用层吞吐量不小于 500Mbps,http新建速率大于5000/s,http最大并发为40 万，网络并发连接数150万防护策略防护规则提供内置规则，同时支持用户自定义防护特征Web扫描 ★提供Web安全扫描功能（提供相应截图）自定义Web安全扫描任务，定期进行Web安全扫描安全特性HTTP RFC符合性支持对HTTP和HTTPS的协议合法性进行验证网络层防护支持访问控制功能，能够有效防御基于网络层的攻击应能支持URL级别访问控制，支持IP级别黑、白名单WEB应用防护可防御蠕虫、缓冲区溢出、目录遍历等攻击可以识别和阻断应用层拒绝服务攻击，如CC攻击等可以对网页请求/响应内容中的非法关键字进行检测、过滤，非法上传阻断，包括Webshell攻击防护应能识别和阻断敏感信息泄露、恶意代码攻击、错误配置攻击、隐藏字段攻击、会话劫持攻击、参数篡改攻击、缓冲区溢出攻击、弱口令攻击 ★支持HTTPS卸载和加壳：即客户端到服务器端可以任意选择HTTPS和HTTP，强化应用层安全（需要提供截图）可以识别和阻断SQL注入攻击,Cookie 注入攻击，命令注入攻击可以防御防盗链攻击、爬虫防护，应能控制网络扫描行为可以进行HTTP报文请求的字段进行严格，中等和宽松的限制可以识别和阻断跨站脚本(XSS)注入式攻击主动防御 ★能根据攻击状态进行学习，形成动态阻断列表（提供相应截图，加盖原厂公章） ★能根据阻断状态，动态建模（提供相应截图，加盖原厂公章）网页篡改防护 ★系统支持网页防篡改模块，支持linux，windows，Aix， FreeBSD等主流操作系统（需要提供截图，加盖原厂公章）采用基于文件过滤驱动保护技术、事件触发机制相结合方式

实验：防火墙基本配置

实验七交换机基本配置一、实验目的（1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。实验设备与器材熟悉交换机开机界面；（2）掌握Quidway S系列中低端交换机几种常用配置方法；（3）掌握Quidway S系列中低端交换机基本配置命令。二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。交换机，标准Console配置线。三、实验内容学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。预备知识 1、防火墙防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。访问控制列表(Access Control List )的作用访问控制列表可以用于防火墙；访问控制列表可用于Qos（Quality of Service），对数据流量进行控制；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。一个IP数据包如下图所示（图中IP所承载的上层协议为TCP） ACL示意图 ACL的分类按照访问控制列表的用途，可以分为四类： ●基本的访问控制列表（basic acl） ●高级的访问控制列表（advanced acl） ●基于接口的访问控制列表（interface-based acl） ●基于MAC的访问控制列表（mac-based acl）访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目防火墙的配置包括：

天融信防火墙日常维护及常见问题

天融信防火墙日常维护及常见问题综述: 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。一、防火墙的连接方式 5 硬件一台 ?外形：19寸1U 标准机箱产品外形接COM 口管理机直通线交叉线串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式

产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条，颜色:灰色) -交叉(1条，颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机（一些高端交换机也可以通过交叉线与防火墙连接） ?软件光盘 ?上架附件 6 二、防火墙的工作状态网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，体请见下表： 2-1防火墙安装前的准备在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)

防火墙技术参数

防火墙技术参数：网络端口8GE+4SFP VPN支持支持丰富高可靠性的VPN特性，如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等入侵检测超过5000种漏洞特征的攻击检测和防御。第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。可防护各种针对web的攻击，包括SQL注入攻击和跨站脚本攻击。管理预置常用防护场景模板，快速部署安全策略，降低学习成本自动评估安全策略存在的风险，智能给出优化建议支持策略冲突和冗余检测，发现冗余的和长期未使用策略，有效控制策略规模一般参数电源选配冗余电源100-240V，最大功率170W 产品尺寸442×421×44.4mm 产品重量7.9kg 适用环境温度：0-45℃(不含硬盘)/5℃-40℃ (包含硬盘) 湿度：5%-95%(不含硬盘)/ 5%-90% (包含硬盘) 其他性能产品形态：1U 带宽管理与QoS优化：在识别业务应用的基础上，可管理每用户/IP使用的带宽, 确保关键业务和关键用户的网络体验。管控方式包括：限制最大带宽或保障最小带宽、应用的策略路由、修改应用转发优先级等数据防泄漏：对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如Word、Excel、PPT、PDF等，并对敏感内容进行过滤应用识别与管控：可识别6000+应用，访问控制精度到应用功能，例如区分微信的文字和语音。应用识别与入侵检测、防病毒、内容过滤相结合，提高检测性能和准确率接口扩展：可扩展千兆电口/千兆光口/万兆光口，支持BYPASS插卡软件认证：ICSA Labs: Firewall，IPS，IPSec VPN，SSL VPN CC：EAL4+ NSS Labs：推荐级硬件认证：CB，CCC，CE-SDOC，ROHS，REACH&WEEE(EU)，C-TICK，ETL，FCC&IC，VCCI，BSMI

Windows_7防火墙设置详解

Windows 7防火墙设置详解(一) 文介绍Windows 7防火墙的设置方法，自从Vista开始，Windows的防火墙功能已经是越加臻于完善、今非昔比了，系统防火墙已经成为系统的一个不可或缺的部分，不再像XP那样防护功能简单、配置单一，所以无论是安装哪个第三方防火墙，Windows 7自带的系统防火墙都不应该被关闭掉，反而应该学着使用和熟悉它，对我们的系统信息保护将会大有裨益。防火墙有软件的也有硬件德，当然了，其实硬件仍然是按照软件的逻辑进行工作的，所以也并非所有的硬防就一定比软防好，防火墙的作用是用来检查网络或Internet的交互信息，并根据一定的规则设置阻止或许可这些信息包通过，从而实现保护计算机的目的，下面这张图是Windows 7帮助里截出来的工作原理图： Windows 7防火墙的常规设置方法还算比较简单，依次打开“计算机”——“控制面板”——“Windows防火墙”，如下图所示：

上图中，天缘启用的是工作网络，家庭网络和工作网络同属于私有网络，或者叫专用网络，图下面还有个公用网络，实际上Windows 7已经支持对不同网络类型进行独立配置，而不会互相影响，这是windows 7的一个改进点。图2中除了右侧是两个帮助连接，全部设置都在左侧，如果需要设置网络连接，可以点击左侧下面的网络和共享中心，具体设置方法，可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章，另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。下面来看一下Windows 7防火墙的几个常规设置方法：一、打开和关闭Windows防火墙

天融信防火墙NGFW4000快速配置手册

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式 1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。 2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。 3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。 4）设置 com1 口的属性，按照以下参数进行设置。参数名称取值每秒位数：9600 数据位：8

奇偶校验：无停止位： 1 5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。 6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2．TELNET管理 TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置： 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图： 3．SSH管理

东软防火墙配置过程

（一）初始化设备 1) 初始化配置步骤： 1.用超级终端通过串口控制台连接（RJ-45 null-modem 线缆）来完成初始配置。完成初始配置后，可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示： LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟，在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name: SZYCZ_FW5200 6.输入系统时间。 Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04

10:22:36 7.设置系统语言。 Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2，中文，回车 8.更改根管理员口令。（此步骤可选，但东软强烈建议首次登录后修改口令。） Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码，选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH

防火墙的参数与防火墙的选择标准

防火墙的参数与防火墙的选择标准网络防火墙与路由器非常类似，是一台特殊的计算机，同样有自己的硬件系统和软件系统，和一般计算机相比，只是没有独立的输入/输出设备。防火墙的主要性能参数是指影响网络防火墙包处理能力的参数。在选择网络防火墙时，应主要考虑网络的规模、网络的架构、网络的安全需求、在网络中的位置，以及网络端口的类型等要素，选择性能、功能、结构、接口、价格都最为适宜的网络安全产品。 1、购买防火墙的参数参考：（1）、系统性能防火墙性能参数主要是指网络防火墙处理器的类型及主频、内存容量、闪存容量、存储容量和类型等数据。一般而言，高端防火墙的硬件性能优越，处理器应当采用ASIV架构或NP架构，并拥有足够大的内存。（2）、接口接口数量关系到网络防火墙能够支持的连接方式，通常情况下，网络防火墙至少应当提供3个接口，分别用于连接内网、外网和DMZ区域。如果能够提供更多数量的端口，则还可以借助虚拟防火墙实现多路网络连接。而接口速率则关系到网络防火墙所能提供的最高传输速率，为了避免可能的网络瓶颈，防火墙的接口速率应当为100Mbps或1000Mbps。（3）、并发连接数并发连接数是衡量防火墙性能的一个重要指标，是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，该参数值直接影响到防火墙所能支持的最大信息点数。提示：低端防火墙的并发连接数都在1000个左右。而高端设备则可以达到数万甚至数10万并发连接。（4）、吞吐量防火墙的主要功能就是对每个网络中传输的每个数据包进行过滤，因此需要消耗大量的资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。防火墙作为内外网之间的唯一数据通道，如果吞吐量太小，就会成为网络瓶颈，给整个网络的传输效率带来负面影响。因此，考察防火墙的吞吐能力有助于更好地评价其性能表现。这也是测量防火墙性能的重要指标。（5）、安全过滤带宽安全过滤带宽是指防火墙在某种加密算法标准下的整体过滤功能，如DES(56位)算法或3DES(168位)算法等。一般来说，防火墙总的吞吐量越大，其对应的安全过滤带宽越高。（6）、支持用户数防火墙的用户数限制分为固定限制用户数和无用户数限制两种。前者如SOHO型防火墙一般支持几十到几百个用户不等，而无用户数限制大多用于大的部门或公司。这里的用户数量和前面介绍的并发连接数并不相同，并发连接数是指防火墙的最大会话数(或进程)，而每个用户可以在一个时间里产生很多的连接。 2、网络防火端的选择策略

(完整版)天融信防火墙日常维护与常见问题

5 硬件一台 ?外形：19寸1U 标准机箱产品外形接COM 口管理机直通线交叉线串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式 6 ?CONSOLE 线缆 ?UTP5双绞线 - 直通(1条，颜色:灰色)-交叉(1条，颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机（一些高端交换机也可以通过交叉线与防火墙连接） ?软件光盘 ?上架附件产品提供的附件及线缆使用方式

二、防火墙的工作状态网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，体请见下表： 2-1防火墙安装前的准备在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 三、防火墙的管理及登录方式

防火墙技术指标

技术要求采购数量：1台

服务要求 1、提供标的产品免费全国范围内现场安装服务和售后服务； 2、提供厂商出具的标的产品三年硬件保修服务证明，备品备件保障证明； 3、投标人至少有2名以上工程师，并指定专人工程师为项目接口工程师，提供标的产品的技术服务支持； 4、硬件故障处理 a)乙方提供三年产品保修服务。若出现硬件故障问题，从甲方报修开始至厂维修完毕返还给用户应不超过10个工作日，维修产品的运费及运输保险费由乙方承担； 5、技术咨询服务 b）乙方免费为用户提供产品咨询服务，协助用户进行新需求规划； c）甲方在系统相关环境上进行研发测试过程中，遇到技术难题时，提供技术咨询服务，包括远程电话支持和现场研讨支持； 6、系统配置管理 d) 建立所有维保设备的配置统计文档，在维保期间随时更新设备硬件或系统软件配置变更的情况。 7、不间断服务 e) 7×24小时响应的电话、传真、E-MAIL方式等日常售后技术服务；提供7×24小时的支持服务，设备出现故障进行实时电话响应； f）设备出现故障，如电话、远程等方式不能解决，全国范围内6小时内赶到现场，12小时内排除由设备问题造成的网络故障； 8、疑难问题升级处理 g) 就维保设备在用户日常管理中遇到的疑难杂症进行升级处理，疑难问题不限于设备故障； 9、定期巡检 h) 提供产品定期巡检服务：乙方在服务期内提供12人次/年的定期巡检服务（每月1次），对本次合同购买的设备的运行状态、安全策略等进行检测，确保其安全稳定的运行，巡检后3个工作日内向甲方提交检查总结报告； 10、系统升级、补丁安装服务

i)提供三年软件版本及补丁免费升级服务，特征库升级授权，供用户自行升级以及提供技术支持服务； 11、系统及相关环境重建服务 j) 设备维保期间，提供系统及相关环境的重新搭建服务； 12、重要事件服务 k）服务期内若甲方有特殊需求（如网络架构调整需求等），乙方技术支持工程师须在甲方提出需求的8个工作小时内到达甲方现场配合讨论方案和进行现场配置和调试； 13、紧急处理服务 l）对于紧急支持服务需求（例如系统瘫痪等严重问题），乙方须在接到甲方服务要求后2个小时内作出反应，在4个小时内到达甲方现场； m）服务期内，若因设备硬件/系统问题影响甲方正常生产环境，乙方须在4个小时内调拨备机到甲方现场，并确保备机的策略/运行状态正常，提供的备机服务应符合现在管理平台的要求，提供的备机应为同等档次或高于目前使用的型号； 14、硬件设备移机服务 n) 根据甲方实际需求提供硬件设备的物理搬迁服务。在搬迁过程中，提供相当于搬迁设备同样配置的备机在甲方本地(单次搬迁设备超过4台时，提供一半以上的备机，保证对故障设备进行及时替换)，保障设备移机前后的正常运行；搬迁过程中如设备有任何损坏，其造成的损失在得到甲方认可的前提下，全部由乙方负责赔偿； 15、辅助故障定位服务 o) 在甲方使用主流品牌的硬件、软件产品出现兼容性问题时，积极配合，与有关硬件、软件厂商和采购人接洽，及时定位问题原因、寻求解决方案； 16、产品关联服务 p) 提供其他与产品相关联的服务，如产品过期EOL(End of life)，提前一年通知甲方。 17、培训服务 q）提供标的产品2人/次原厂技术培训（非现场培训）； 18、续约 r) 维保服务合同到期后1个月内，如果甲方提出需求，继续提供上述技术服务；18、提供厂商出具的五年内备品备件保障证明；

天融信防火墙配置手册

天融信防火墙配置指南一、对象与规则现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。 2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：用户-->访问者城市-->主机地点-->端口为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。二、路由功能与地址转换现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNA T）。比如A学校有100台计算机，但是只有